Saintstealer

Saintstealer-Beschreibung

Saintstealer ist eine C# .NET-basierte Malware, die entwickelt wurde, um verschiedene vertrauliche Daten von kompromittierten Systemen zu erfassen und zu exfiltrieren. Die Bedrohung ist in der Lage, Kontoanmeldeinformationen, Systeminformationen, Kredit-/Debitkartennummern und andere vertrauliche Informationen abzugreifen. Details über Sainstealer wurden der Öffentlichkeit in einem Bericht von Sicherheitsforschern offenbart.

Der der Cyberkriminellenbande Saint zugeschriebene Informationsdieb wird als ausführbare 32-Bit-Datei mit dem Namen „saintgang.exe“ auf geknackten Geräten abgelegt. Vor der Aktivierung seiner primären Funktionalität führt Sainstealer mehrere Prüfungen auf Anzeichen von Virtualisierung und Sandbox-Umgebungen durch. Wenn die Anti-Analyse-Prüfungen etwas faul finden, wird die Bedrohung ihre Ausführung beenden.

Sobald Saintstealer jedoch auf dem Gerät eingerichtet ist, beginnt es mit der Erfassung einer Vielzahl von Daten, indem es beliebige Screenshots macht, Passwörter sammelt, greift auf Cookies zu, und liest die in Chromium-basierten Browsern (Google Chrome, Edge, Opera, Brave, Vivaldi, Yandex und mehr) gespeicherten Autofill-Daten. Die Bedrohung kann auch Multi-Faktor-Authentifizierungstoken von Discord erwerben, verschiedene Dateitypen (.doc, .docx, .txt usw.) sammeln und Informationen aus bestimmten Anwendungen wie VimeWorld und Telegram extrahieren. Sainstealer kann auch bestimmte Informationen von mehreren VPN-Anwendungen erwerben, darunter NordVPN, OpenVPN und ProtonVPN.

Alle erhaltenen Daten werden komprimiert und in einer passwortgeschützten ZIP-Datei gespeichert. Die gesammelten Informationen werden dann unter der Kontrolle der Cyberkriminellen auf ein Telegram-Konto exfiltriert. Gleichzeitig werden die mit den exfiltrierten Informationen verbundenen Metadaten an einen Remote-Command-and-Control-Server (C2, C&C) übertragen. Es sei darauf hingewiesen, dass die mit der C2-Domäne der Operationen verknüpfte IP-Adresse zuvor mit mehreren anderen Stealer-Familien verknüpft wurde, darunter Predator Stealer, Nixscare Stealer, QuasarRAT und BloodyStealer.